本文详细解析了 Apache Tomcat RewriteValve 组件中的路径遍历漏洞 CVE-2025-55752,阐述了其成因在于重写逻辑缺乏路径规范化。文章列出了受影响版本范围,提供了手动测试与自动化扫描的验证方法,并给出了从紧急缓解到官方补丁升级的全维度修复策略,强调构建左移防御体系的重要性。
CVE-2025-55752 是 Apache Tomcat 中间件中 RewriteValve(URL 重写阀门)组件存在的高危路径遍历漏洞,CVSS 评分暂定为9.1 分(高危,远程攻击、无需权限、影响范围广)。该漏洞的核心成因是 RewriteValve 在处理用户可控的 URL 重写请求时,未在重写逻辑执行前后完成完整的路径规范化(Normalization)操作,导致攻击者可通过构造包含 ../、./ 及其编码变体的恶意请求,绕过 Tomcat 默认的目录访问限制,直接读取部署目录外的敏感系统文件与应用配置文件。
需要特别强调的是,该漏洞的触发存在前置条件:目标 Tomcat 实例必须在 server.xml、context.xml 或应用专属的 META-INF/context.xml 中显式配置并启用 RewriteValve 组件;未配置该组件的 Tomcat 实例不受影响。但从实际运维场景来看,RewriteValve 因能灵活实现 URL 重写、伪静态化、域名跳转等需求,被大量企业应用于生产环境,因此漏洞的实际影响面不容小觑。
Apache Tomcat 官方于 2025 年 Q4 发布的安全公告中,明确了以下受影响版本范围:
除官方标准版本外,还存在两类易被忽视的隐蔽受影响对象:
要理解该漏洞的本质,需先明确 Tomcat 的路径处理流程与 RewriteValve 的执行时序:
.(当前目录)、..(上级目录)、URL 编码字符(如 %2e 对应.)、Unicode 编码字符(如 \u002e 对应.),将其转换为标准的绝对路径,再与应用部署根目录拼接,最后校验该路径是否在允许的访问范围内,若超出则直接拒绝。RewriteValve 的执行时序问题:RewriteValve 的拦截器(Valve)执行优先级高于 Tomcat 默认的路径规范化拦截器。在漏洞版本中,RewriteValve 会直接读取原始请求 URI 中的用户可控内容,代入重写规则进行匹配与替换,且未对重写后的 URI 进行二次规范化与权限校验。攻击者正是利用这一时序缺陷,构造包含路径遍历字符的恶意请求,具体攻击链路如下:
GET /abc/../../etc/passwd HTTP/1.1RewriteValve 在重写规则中匹配到 /abc/* 路径,直接将请求重写为 /../../etc/passwd(若重写规则中存在反向引用,如 RewriteRule ^/abc/(.*)$ /$1 [L],则攻击效果会被放大);/etc/passwd;更危险的是,攻击者可通过多层编码绕过(如 %252e%252e/ 对应 ../,%c0%ae%c0%ae/ 是 ../ 的 UTF-8 变形编码),突破部分 WAF(Web 应用防火墙)的基础规则拦截,实现精准攻击。
该漏洞的危害并非局限于单一的文件读取,而是会引发链式攻击效应,具体可分为四个层级:
conf/server.xml、conf/tomcat-users.xml),获取 Tomcat 管理后台的账号密码;读取 Java Web 应用的配置文件(如 WEB-INF/web.xml、application.yml),获取数据库连接字符串、Redis 密码、API 密钥等敏感凭证。root、Administrator),攻击者可读取系统敏感文件,如 Linux 的 /etc/passwd、/etc/shadow(需对应权限),Windows 的 C:\Windows\System32\drivers\etc\hosts、C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools,从而掌握服务器的用户列表、权限配置、网络拓扑等核心信息,为后续的权限提升攻击铺路。漏洞验证需严格遵循授权测试原则,仅可在自有资产或获得明确授权的目标上进行,具体方法分为手动测试与自动化扫描两类:
RewriteValve 是否启用conf/server.xml 或 conf/context.xml 中是否存在 <Valve className="org.apache.catalina.valves.rewrite.RewriteValve" /> 配置;META-INF/context.xml 文件,确认是否存在上述配置。构造恶意请求进行验证
使用 Burp Suite、curl 等工具发送测试请求,示例如下:
# 测试读取 Linux 系统文件
curl -v "http://target:8080/任意已配置的重写路径/../../etc/passwd"
# 测试读取 Tomcat 配置文件
curl -v "http://target:8080/任意已配置的重写路径/../../conf/tomcat-users.xml"
# 测试编码绕过(针对存在基础 WAF 的目标)
curl -v "http://target:8080/任意已配置的重写路径/%2e%2e/%2e%2e/etc/passwd"
若返回文件内容(如 root:x:0:0:root:/root:/bin/bash),则说明漏洞存在。
http-tomcat-rewrite-path-traversal 脚本、OpenVAS 的 CVE-2025-55752 专属插件,可批量检测目标是否存在漏洞;RewriteValve(通过扫描 /manager/html 页面的响应头,或发送特定请求触发 RewriteValve 的错误日志);root:x:0:0、<user username=)。针对该漏洞的修复,需遵循**'先应急、后根治、再加固'**的原则,分阶段实施:
适用于业务无法中断、无法立即升级 Tomcat 版本的场景,可快速降低漏洞风险:
RewriteValve:若业务不依赖 URL 重写功能,直接删除 server.xml/context.xml 中的 <Valve className="org.apache.catalina.valves.rewrite.RewriteValve" /> 配置,重启 Tomcat 实例;若业务依赖该功能,可临时注释该配置,待业务低峰期进行升级。root/Administrator 切换为低权限用户(如 tomcat 用户),并修改服务器文件权限,禁止低权限用户读取 /etc/shadow、C:\Windows\System32 等敏感目录的文件。添加重写规则的防御逻辑:在 rewrite.config 文件中添加路径遍历字符的拦截规则,拒绝所有包含 .、.. 的请求:
# 拦截包含../的请求
RewriteCond %{REQUEST_URI} ^(.*)/\.\./(.*)$ [NC,OR]
# 拦截包含./的请求
RewriteCond %{REQUEST_URI} ^(.*)/\./(.*)$ [NC]
# 返回 403 禁止访问
RewriteRule ^ - [F,L]
这是解决漏洞的最根本方法,需根据 Tomcat 的部署类型选择对应的升级路径:
RewriteValve 的功能是否正常,避免因版本兼容问题导致业务异常。pom.xml(Maven)或 build.gradle(Gradle)中升级 spring-boot-starter-tomcat 的依赖版本至最新;tomcat-embed-core、tomcat-embed-valves 等核心依赖的版本,确保与官方修复版本一致。该漏洞再次暴露了企业在中间件安全管理中的短板——重功能、轻安全,重应急、轻预防。要从根本上降低类似漏洞的风险,需构建左移防御体系:
随着云原生、微服务架构的普及,中间件的形态正从'独立部署'向'嵌入式、分布式'转变,这也给中间件安全带来了新的挑战:
针对这些挑战,未来的中间件安全防御需向三个方向演进:
注:本文所述的漏洞验证方法仅用于授权安全测试,未经授权的攻击行为均属于违法行为,需承担相应的法律责任。企业若发现自身系统存在该漏洞,应立即启动应急响应流程,排查攻击痕迹,并及时向相关监管部门报备。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
查找任何按下的键的javascript键代码、代码、位置和修饰符。 在线工具,Keycode 信息在线工具,online
JavaScript 字符串转义/反转义;Java 风格 \uXXXX(Native2Ascii)编码与解码。 在线工具,Escape 与 Native 编解码在线工具,online
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。 在线工具,JavaScript / HTML 格式化在线工具,online
Terser 压缩、变量名混淆,或 javascript-obfuscator 高强度混淆(体积会增大)。 在线工具,JavaScript 压缩与混淆在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online